AceCryptor-Malware
Es sind zahlreiche neue Infektionsfälle im Zusammenhang mit dem AceCryptor-Tool aufgetreten, was auf einen besorgniserregenden Trend hindeutet. Dieses Tool, das von Hackern wegen seiner Fähigkeit, Malware zu tarnen und Systeme zu infiltrieren, die von herkömmlichen Anti-Malware-Abwehrmaßnahmen nicht erkannt werden, beliebt ist, wurde in einer Kampagne eingesetzt, die sich an Organisationen in ganz Europa richtete. Forscher, die die Aktivitäten von AceCryptor jahrelang beobachtet haben, beobachten eine deutliche Veränderung in dieser jüngsten Kampagne. Im Gegensatz zu früheren Vorfällen haben Angreifer die Bandbreite an manipuliertem Code, der in ihren Exploits gebündelt ist, erweitert und stellen so eine erhöhte Bedrohung für anvisierte Einheiten dar.
AceCryptor wird für die Übermittlung schädlicher Bedrohungen im Spätstadium verwendet
AceCryptor wird häufig mit Malware wie Remcos oder Rescoms kombiniert, die als leistungsstarke Fernüberwachungstools dienen und häufig bei Angriffen auf Organisationen in der Ukraine eingesetzt werden. Neben Remcos und dem bekannten SmokeLoader haben Forscher nun beobachtet, dass AceCryptor weitere Malware-Stämme verbreitet, darunter Varianten der STOP/Djvu-Ransomware und des Vidar Stealer .
Darüber hinaus haben Forscher in den Zielländern unterschiedliche Muster festgestellt. Während SmokeLoader an Angriffen in der Ukraine beteiligt war, kam es bei Vorfällen in Polen, der Slowakei, Bulgarien und Serbien zum Einsatz von Remcos.
In sorgfältig orchestrierten Kampagnen wurde AceCryptor genutzt, um mehrere europäische Länder anzugreifen, mit dem Ziel, sensible Informationen zu extrahieren oder ersten Zugang zu verschiedenen Unternehmen zu verschaffen. Die Verbreitung von Malware bei diesen Angriffen erfolgte häufig über Spam-E-Mails, von denen einige bemerkenswert überzeugend waren; Gelegentlich wurden legitime E-Mail-Konten gekapert und zum Versenden dieser irreführenden Nachrichten missbraucht.
Das Hauptziel der jüngsten Operation besteht darin, E-Mail- und Browser-Anmeldeinformationen zu erlangen, die für weitere Angriffe auf die Zielunternehmen bestimmt sind. Bemerkenswert ist, dass die Mehrzahl der aufgezeichneten AceCryptor-Vorfälle als Ausgangspunkt für die Kompromittierung dieser Angriffe dienten.
Die Ziele von AceCryptor haben sich im Laufe des Jahres 2023 geändert
In den sechs Monaten des Jahres 2023 waren Peru, Mexiko, Ägypten und die Türkei die Länder, die vor allem von AceCryptor-Malware betroffen waren, wobei Peru die Hauptlast von 4.700 Angriffen trug. In einer bemerkenswerten Verschiebung in der zweiten Jahreshälfte richteten die Hacker jedoch ihren Fokus auf europäische Länder, insbesondere Polen, wo es über 26.000 Angriffe gab. Auch die Ukraine, Spanien und Serbien waren Opfer tausender Angriffe.
In der zweiten Jahreshälfte entwickelte sich Rescoms mit über 32.000 Vorfällen zur vorherrschenden Malware-Familie, die über AceCryptor verbreitet wurde. Auf Polen entfielen mehr als die Hälfte dieser Vorkommnisse, gefolgt von Serbien, Spanien, Bulgarien und der Slowakei.
Angriffe auf polnische Unternehmen hatten ähnliche Betreffzeilen und tarnten sich oft als für die betroffenen Unternehmen relevante B2B-Angebote. Die Hacker verwendeten in ihren E-Mails echte polnische Firmennamen und bestehende Mitarbeiteridentitäten, um Glaubwürdigkeit zu verleihen. Die Motive hinter diesen Angriffen bleiben unklar; Es ist ungewiss, ob die Hacker die gestohlenen Zugangsdaten für den persönlichen Gebrauch ausnutzen oder sie an andere Bedrohungsakteure weitergeben wollen.
Derzeit ist es aufgrund der verfügbaren Beweise nicht möglich, die Angriffskampagnen eindeutig einer bestimmten Quelle zuzuordnen. Es ist jedoch erwähnenswert, dass mit der russischen Regierung verbundene Hacker bei ihren Operationen immer wieder Remcos und SmokeLoader eingesetzt haben.
